《Wireshark数据包分析实战》


    Wireshark 数包分析实战(笔记)
    数包分析基础5
    1数包分析5
    2目标5
    3软件5
    4协议5
    5数封装5
    6网络硬件6
    7流量分类6
    (1)广播流量6
    (2)播流量6
    (3)单播流量6
    二监听网络线路6
    1关键决策6
    2混杂模式7
    3集线器嗅探方式7
    4交换机嗅探方式7
    (1)端口镜7
    (2)集线器输出8
    (3)网络分流器8
    (4)ARP 欺骗9
    5路器嗅探方式13
    三Wireshark 基础法 14
    1查找:Ctrl+F 14
    2标记:Ctrl+M 右键菜单14
    3时间显示格式15
    4相时间:Ctrl+T15
    5捕获选项:Ctrl+K 16
    6名字解析17
    (1)类型17
    (2)弊端17
    7协议解析17
    8滤器18
    (1)滤器 BPF 语法18
    (2)显示滤器19
    (3)较操作符19
    (4)逻辑操作符19
    (5)滤器举例20
    四流量分析图形化功20
    1网络端点20
    2网络会话213协议分层22
    4数包长度分析23
    5踪 TCP 流24
    6图形展示25
    (1)查 IO 图25
    (2)双时间图26
    (3)数流图28
    7专家信息29
    (1)数包标记29
    (2)数包分析30
    五通底层网络协议32
    1址解析协议 ARP(Address Resolution Protocol) 32
    (1)ARP 头32
    (2)数包分析32
    (3)偿 ARP34
    2IP 协议 34
    (1)IP 头 34
    (2)数包分析35
    (3)IP 分片 36
    3传输控制协议 TCP(Transmission Control Protocol)39
    (1)TCP 头39
    (2)TCP 端口 40
    (3)TCP 标志 41
    (4)TCP 三次握手 42
    (5)TCP 四次断开 44
    (6)TCP 重置 46
    4户数报协议 UDP(User Datagram Protocol) 47
    (1)UDP 头48
    (2)数包分析48
    5互联网控制消息协议 ICMP(Internet Control Message Protocol)48
    (1)ICMP 头48
    (2)ICMP 类型代码48
    (3)Echo 请求响应 50
    (4)路踪50
    六常见高层网络协议53
    1动态机配置协议 DHCP(Dynamic Host Configuration Protocol)53
    (1)DHCP 头 53
    (2)数包分析54
    (3)租约续约57
    2域名系统 DNS(Domain Name System) 58
    (1)DNS 头58
    (2)数包分析59
    (3)DNS 问题类型59
    (4)DNS 递60(5)DNS 区域传送61
    3超文传输协议 HTTP(Hypertext Transfer Protocol) 63
    (1) HTTP 浏览63
    (2) HTTP 传数64
    七 基础现实世界场景66
    1捕获 Twitter 社交网络流量 66
    (1)登录程66
    (2)传数67
    2捕获 Facebook 社交网络流量69
    (1)登陆程69
    (2)发送私信69
    (3)较 Twitter Facebook 方法 70
    3捕获新闻网站 ESPNcom 流量( 956 数包)71
    (1)会话窗口71
    (2)协议分层统计窗口72
    (3)查 DNS 流量73
    (4)查 HTTP 请求74
    (5)查概况解花时间75
    4现实世界问题75
    (1)法访问 Internet:配置问题75
    (2)法访问 Internet:意外重定76
    (3)法访问 Internet:游问题77
    (4)印机障79
    (5)分公司困82
    (6)生气开发者84
    八网络卡87
    1TCP 错误恢复特性 87
    (1)TCP 重传 88
    (2)TCP 重复确认快速重传 89
    2TCP 流量控制92
    (1)调整窗口93
    (2)零窗口通知停止数流93
    (3)TCP 滑动窗口实战 94
    3TCP 错误控制流量控制总结 96
    (1)重传包96
    (2)重复 ACK 包 96
    (3)零窗口保活包96
    4定位高延迟原96
    (1)正常通信96
    (2)线路延迟97
    (3)客户端延迟97
    (4)服务器延迟97
    (5)延迟定位框架98
    5网络基线98(1)站点基线98
    (2)机基线98
    (3)程序基线99
    (4)注意事项99
    九安全领域数包分析99
    1网络侦察99
    (1)SYN 扫描99
    (2)操作系统指纹术100
    2漏洞利102
    (1)极光行动102
    (2)ARP 缓存攻击105
    (3)远程访问木马106
    十线网络数包分析106
    1物理素106
    (1)次嗅探信道106
    (2)线信号干扰106
    (3)检测分析信号干扰107
    2线网卡模式107
    3 Windows 嗅探线网络 108
    (1)配置 AirPcap108
    (2)AirPcap 捕获流量108
    4 Linux 嗅探线网络108
    580211 数包结构109
    6增加线专列110
    7线专滤器110
    (1)筛选特定 BSSID 流量 110
    (2)筛选特定线数包类型110
    (3)筛选特定频率111
    8线网络安全 111
    (1)成功 WEP 认证 112
    (2)失败 WEP 认证 113
    (3)成功 WPA 认证 114
    (4)失败 WPA 认证 115
    附录 A:数包分析工具116
    附录 B:数包分析资源 117
    2014 年 03 月 21 日数包分析基础
    1数包分析
    数包嗅探协议分析:指捕获解析网络线传输数程更
    解网络正发生事情
    2目标
    ·解网络特征
    ·查通信体
    ·确认占带宽者
    ·识网络高峰时段
    ·识攻击恶意活动
    ·查找安全滥网络应
    3软件
    ·Tcpdump(命令行)
    ·OmniPeek(GUI)
    ·Wireshark(GUI)
    4协议
    层次 协议
    应层 HTTPSMTPFTPTelnet
    表示层 ACSIIMPEGJPEGMIDI
    会话层 NetBIOSSAPSDPNWLink
    传输层 TCPUDPSPX
    网络层 IPIPX
    链路层 EthernetToken RingFDDIAppleTalk
    5数封装
    协议栈中层协议负责传输数增加协议头部尾部中包含协议
    栈间够进行通信额外信息
    数封装程创建协议数单元 PDU中包括正发送网络数
    增加头部尾部协议信息
    数包指完整 PDU6网络硬件
    集线器:工作半双工模式时发送接收数会数包广播集线
    器端口适合抓包
    交换机:工作全双工模式数包发目计算机连接端口
    路器:负责两网络间转发数包
    7流量分类
    (1)广播流量
    广播包发送网段端口二层广播址 FFFFFFFFFFFF三层广
    播址机址 255 IP 址路器分割广播域
    (2)播流量
    播单源数包时传输目标通信方式避免数包量复制
    减少网络带宽率
    实施方法通数包接收者加入播组方式播址 224000 ~
    239255255255
    (3)单播流量
    台计算机直接传输台计算机
    二监听网络线路
    1关键决策
    里放置数包嗅探器?
    2混杂模式
    需支持混杂模式驱动网卡够查流网络线路数包驱动模式3集线器嗅探方式
    流集线器网络数包会发送集线器连接端口
    4交换机嗅探方式
    端口镜集线器输出(hubbing out)网络分流器ARP 欺骗攻击 4 种方法
    (1)端口镜
    设置连接交换机端口镜功交换机端口数包复制
    份嗅探器连接端口
    需留意镜端口流量负载
    (2)集线器输出
    目标设备交换机间插接集线器嗅探器接集线器交换机支持端口镜时方法
    (3)网络分流器
    聚合非聚合两种类型安置两设备间嗅探流网络通信聚
    合三端口非聚合四端口
    (4)ARP 欺骗
    通发送包含虚假 MAC 址 ARP 消息劫持计算机流量程交换
    机式网络中进行高级技术· Cain & Abel 软件进行 ARP 欺骗:时 Wireshark 抓包进行数包分析
    5路器嗅探方式
    处理涉网段路器问题时需嗅探器移动位置获
    完整网络拓朴三Wireshark 基础法
    1查找:Ctrl+F
    搜索类型 例子
    Display filter 表达式筛选 Not ip
    Ipaddr19216801
    Arp
    Hex Value 十六进制值筛选 00ff
    Ffff
    00abb1f0
    String 字符串筛选 Workstation1
    UserB
    Domain
    2标记:Ctrl+M 右键菜单3时间显示格式
    4相时间:Ctrl+T5捕获选项:Ctrl+K6名字解析
    (1)类型
    ·MAC 址解析(Resolve MAC addresses):MAC 转换成 IP
    ·网络层名字解析(Resolve networklayer names):IP 转换成 DNS 名称(网址)
    ·传输层名字解析(Resolve transportlayer names):端口转换成协议
    ·外部网络名称解析器(Use external network name resolver)
    (2)弊端
    ·解析失败
    ·开捕获文件重新解析遍
    ·解析 DNS 名字会产生额外流量
    ·解析程占系统资源
    7协议解析
    右键点击数包选择 Decode As创建强制解码器强制 80 端口解析成
    FTP 协议点击 Clear 清强制解码器8滤器
    (1)滤器 BPF 语法
    BPF 限定词 说明 例子
    Type 名字数字代表意义 Hostnetport
    Dir 指明数源目 Srcdst
    Proto 限定协议 Etheriptcpudphttpftp
    逻辑运算符: && || 非
    表达式 说明
    Src 192168010 && port 80 捕获源址 192168010 源端口目标端口 80 流量
    Host 1721616149 捕获某 IP 计算机流量
    Host testserver2 捕获某机名计算机流量
    Ether host 001aa052e2a0 捕获某 MAC 址计算机流量
    Src host 1721616149 捕获某台计算机流量
    Dst host 1721616149 捕获前某台计算机流量
    Port 8080 捕获指定端口流量
    port 8080 捕获指定端口外流量
    Dst port 80 捕获前监听 HTTP 80 端口流量
    icmp 捕获指定协议流量
    ip6 捕获排 IPv6 流量
    Icmp[0]3 捕获偏移量 0 值 3(目标达) ICMP 数包流量
    Icmp[0]8 or icmp[0]0 捕获代表 echo 请求(类型 8) echo 回复(类型 0) ICMP
    数包流量
    Icmp[02]0x0301 捕获类型 3 代码 1 表示目标达机达 ICMP
    数包流量
    Tcp[13]&11 捕获设置 FIN 位 TCP 数包
    Tcp[13]&22 捕获设置 SYN 位 TCP 数包
    Tcp[13]&44 捕获设置 RST 位 TCP 数包
    Tcp[13]&88 捕获设置 PSH 位 TCP 数包
    Tcp[13]&1616 捕获设置 ACK 位 TCP 数包
    Tcp[13]&3232 捕获设置 URG 位 TCP 数包
    Tcp[13]18 捕获 TCPSYNACK 数包
    Ether host 000000000000 捕获流入流出 MAC 址流量
    ether host 000000000000 捕获流入流出 MAC 址外流量
    Broadcast 捕获广播流量
    Udp 捕获 UDP 流量(2)显示滤器
    通设置带滤表达式滤显示数
    (3)较操作符
    操作符 说明


    >
    <
    < 等
    > 等
    (4)逻辑操作符
    操作符 说明And 两条件需时满足
    Or 中条件满足
    Xor 仅条件满足
    Not 没条件满足
    (5)滤器举例
    滤器 说明
    tcpport3389 排 RDP 流量
    Tcpflagssyn1 具 SYN 标志位 TCP 数包
    Tcpflagsrst1 具 RST 标志位 TCP 数包
    arp 排 ARP 流量
    http HTTP 流量
    Tcpport23 || tcpport21 文理流量(telnet ftp)
    Smtp||pop||imap 文 email 流量
    Ipaddr19216811 指定 IP 流量
    Framelen<128 长度等 128 字节数包
    四流量分析图形化功
    1网络端点
    统计端点址发送收数包数量字节数2网络会话
    统计址 A 址 B 端点间会话发送收数包数量字节数3协议分层
    查种协议分布统计情况4数包长度分析太网帧长度 1518 字节图中较数包(1280~2559)常传输数较
    (40~79)协议控制序列 TCP 控制数包约 54 字节
    5踪 TCP 流红色表示源址前目标址流量蓝色相反
    初 WEB 根目录 GET 请求然服务器 HTTP11 200 OK 表
    示请求成功响应
    6图形展示
    (1)查 IO 图通选择 X 轴(数包间隔时间)Y 轴(数包数量限)调整显示 IO 图形
    图中显示团体传输 0~200 数包间波动表示慢速载程
    通滤器流量颜色显示 IO 图形
    (2)双时间图
    基两端口间 TCP 连接话确认数包已成功接收需时间话统计
    配合图中点代表数包双时间单击点 Packet List 面板中
    相应数包
    图中显示部分数 005s 少量 010~025s 间慢速载(网页
    微博等)说接受
    (3)数流图
    连接视化段时间中数流显示出配合话统计查两
    端点间数流7专家信息
    (1)数包标记
    警告信息:正常通信中异常数包
    ·丢失:段数包丢失时
    ·延收:已确认丢失数包收 ACK 包时
    ·保活:连接保活数包出现时
    ·零窗:接收方达窗口发出零窗口通知时
    ·乱序:数包乱序接收时
    ·重传:次重传会收重复 ACK 20 毫秒进行
    注意消息:正常通信中异常数包
    ·重传:收重复 ACK 重传计时器超时时
    ·重复 ACK:机没收期序列号数包时会生成收数重复
    ACK
    ·零窗探查:零窗口通知包发出监视 TCP 接收窗口状态
    ·保活 ACK:响应保活数包
    ·零窗 ACK:响应零窗口探查数包
    ·窗口已满:通知传输机接收者 TCP 接收窗口已满
    话消息:关通信基信息
    ·窗口更新:接收者发出通知发送者 TCP 接收窗口已改变(2)数包分析五通底层网络协议
    1址解析协议 ARP(Address Resolution Protocol)
    (1)ARP 头
    址解析协议 ARP
    偏移位 0~7 8~15
    0 硬件类型
    16 协议类型
    32 硬件址长度 协议址长度
    48 操作
    64 发送方硬件址(第116位)
    80 发送方硬件址(第216位)
    96 发送方硬件址(第316位)
    112 发送方协议址(第116位)
    128 发送方协议址(第216位)
    144 目标硬件址(第116位)
    160 目标硬件址(第216位)
    176 目标硬件址(第316位)
    192 目标协议址(第116位)
    208 目标协议址(第216位)
    (2)数包分析
    长度:8 位字节MAC 址 48 位 6 字节IP 址 32 位 4 字节(3)偿 ARP
    IP 址改变网络机中缓存 IP MAC 映射失效防止通信错误
    偿 ARP 请求发送网络中强制收设备更新 ARP 映射缓存
    2IP 协议
    (1)IP 头
    IP 协议
    偏移位 0~3 4~7 8~15 16~18 19~31
    0 版 首部长度 服务类型 总长度
    32 标识符 标记 分段偏移
    64 存活时间 TTL 协议 首部校验
    96 源 IP 址
    128 目 IP 址
    160 选项
    160or19
    2+ 数
    ·服务类型:优先级标志位服务类型标志位进行 QoS
    ·标识符:识数包分片数包次序唯·标记:标记数包否组分片数包部分
    ·分片偏移:该数包分片数包分片偏移值序重组
    ·存活时间 TTL:超 TTL 时间数包丢弃
    (2)数包分析(3)IP 分片
    数流分更片段 IP 解决跨越类型网络时传输特

    基第 2 层数链路协议传输单元 MTU(Maximum Transmission Unit)
    默认 1500 字节(包含 14 字节太网头身)数包 MTU 时
    会分片3传输控制协议 TCP(Transmission Control Protocol)
    数提供端端传输处理数序错误恢复保证数够达应
    达方
    (1)TCP 头
    传输控制协议 TCP
    偏移位 0~3 4~7 8~15 16~31
    0 源端口 目端口
    32 序号
    64 确认号
    96 数
    偏移 保留 标记 窗口
    128 校验 紧急指针
    160 选项·序号:表示 TCP 片段
    ·确认号:希设备数包序号
    ·紧急指针:果设置 URG 位紧急指针告诉 CPU 数包里开始读取数
    (2)TCP 端口
    ·1~1023:标准端口组特定服务会标准端口
    ·1024~65535:时端口组操作系统会机选择源端口某通信单独(3)TCP 标志(4)TCP 三次握手
    设置 TCP 数包序列号显示方式:(5)TCP 四次断开(6)TCP 重置
    TCP 连接中途突然断掉 RST 标志位指出连接异常中止拒绝连接请求4户数报协议 UDP(User Datagram Protocol)
    快速连接DNS DHCP UDP 作传输协议进行
    错误检查重传计时(1)UDP 头
    户数报协议 UDP
    偏移位 0~15 16~31
    0 源端口 目端口
    32 数包长度 校验
    (2)数包分析
    5互联网控制消息协议 ICMP(Internet Control Message
    Protocol)
    (1)ICMP 头
    控制消息协议 ICMP
    偏移位 0~15 16~31
    0 类型 代码 校验
    32 变域
    (2)ICMP 类型代码
    httpwwwianaorgassignmentsicmpparametersicmpparametersxhtml
    例:类型 Type3 表示目标达 Destination Unreachable代码 Code3 表示端口达
    Port Unreachable知试图进行通信端口问题
    Type Name Info
    0 Echo Reply Echo 回复
    1 Unassigned 未赋值
    2 Unassigned 未赋值
    3 Destination Unreachable 目标达
    4 Source Quench (Deprecated) 报源抑制(弃)
    5 Redirect 重定6 Alternate Host Address (Deprecated) 修改机址(弃)
    7 Unassigned 未赋值
    8 Echo Request Echo 请求
    9 Router Advertisement 路器公告
    10 Router Solicitation 路器请求
    11 Time Exceeded 超时
    12 Parameter Problem 参数问题
    13 Timestamp 时间戳
    14 Timestamp Reply 时间戳应答
    Type 3 — Destination Unreachable
    Codes Description Info
    0 Net Unreachable 网络达
    1 Host Unreachable 机达
    2 Protocol Unreachable 协议达
    3 Port Unreachable 端口达
    4 Fragmentation Needed and Don't
    Fragment was Set 分裂需片段设置
    5 Source Route Failed 源路选择完成
    6 Destination Network Unknown 目网络知
    7 Destination Host Unknown 目机知
    8 Source Host Isolated 源机隔离
    9
    Communication with Destination
    Network is Administratively
    Prohibited
    目标网络通信出理
    需禁止
    10 Communication with Destination Host
    is Administratively Prohibited
    目标机通信出理
    需禁止
    11 Destination Network Unreachable for
    Type of Service
    目标网络达网络类型
    服务
    12 Destination Host Unreachable for Type
    of Service
    目标机达网络类型
    服务
    13 Communication Administratively
    Prohibited 通信理禁止
    14 Host Precedence Violation 机越权
    15 Precedence cutoff in effect 优先中止生效
    Type 11 — Time Exceeded
    Codes Description Info
    0 Time to Live exceeded in Transit
    生存时间超时路循环
    运行 traceroute路
    器包丢弃
    1 Fragment Reassembly Time Exceeded 片段重组超时没收片断机包丢弃
    (3)Echo 请求响应
    >ping 1921681001
    (4)路踪
    >tarcert 4221路踪 TTL 加 1 程直持续直达目 4221路径路
    器进行通信画出前目路图六常见高层网络协议
    1 动 态 机 配 置 协 议 DHCP( Dynamic Host
    Configuration Protocol)
    (1)DHCP 头
    动态机配置协议 DHCP
    偏移位 0~15 16~31
    0 操作代码 硬件类型 硬件长度 跳数
    32 事务 ID
    64 消耗时间 标记
    96 客户端 IP
    128 IP
    160 服务器 IP
    196 网关 IP
    228+ 客户端 MAC 址(16字节)
    服务器机名(64字节)
    启动文件(128字节)
    选项
    ·操作代码 OpCode:DHCP 请求者 DHCP 回复
    ·硬件类型 Hardware Type:10MB 太网IEEE802ATM 等
    ·硬件长度 Hardware Length:硬件址长度
    ·跳数 Hops:中继代理帮助寻找 DHCP 服务器
    ·事务 ID:匹配请求响应机数
    ·消耗时间 Seconds Elasped:客户端首次服务器发出请求时间
    ·标记 Flags:客户端够接受流量类型(单播广播)
    · IP:服务器客户端提供 IP(2)数包分析(3)租约续约
    拥 IP 客户端租约重新启动需进行次精简版 DORA 程重
    新认领 IP需完成请求确认两步
    DHCP 消息类型
    类型号 消息类型 描述
    1 发现 客户端定位服务器
    2 提供 服务器响应发现包
    3 请求 客户端请求服务器提供参数
    4 拒绝 客户端服务器指明效参数
    5 ACK 服务器客户端发送请求配置参数
    6 NAK 客户端服务器拒绝配置参数请求
    7 释放 客户端服务器通取消配置参数取消租约
    8 通知 客户端已 IP 时服务器请求配置参数2域名系统 DNS(Domain Name System)
    (1)DNS 头
    ·QR:查询响应 QueryResponse指明数包查询响应
    ·AA:权威应答 Authoritative Answer表示域权威域名服务器发出
    ·TC:截断 Truncation指明响应太长法装入数包截断
    ·RD:期递 Recursion Desired表示客户端目标服务器含请求信息时求递查

    ·RA:递 Recursion Available表示域名服务器支持递查询
    ·Z:保留
    (2)数包分析
    域名系统 DNS
    偏移位 0~15 16~31
    0 DNS ID QR 操作代码 AATCRDRAZ 响应代码
    32 问题计数 回答区段
    64 域名服务器计数 额外记录计数
    96 问题区段 回答区段
    128 权威区段 额外信息区段(3)DNS 问题类型
    常 DNS 资源记录类型
    值 类型 描述
    1 A IPv4 机址
    2 NS 权威域名服务器
    5 CNAME 规范名
    15 MX 邮件交换
    16 TXT 文字符串
    28 AAAA IPv6 机址
    251 IXFR 增量区域传送
    252 AXFR 完整区域传送
    wwwianaorgassignmentsdnsparameters
    (4)DNS 递
    客户端捕获 DNS 数包:部 DNS 服务器 102 设置期递查询:
    服务器端捕获 DNS 数包:
    DNS 服务器进行递应答部 DNS 服务器 102 知道 nstarchcom 域名 IP
    设置期递会 DNS 服务器询问回答会告诉客户端
    (5)DNS 区域传送
    出冗余备份需两台设备间传送区域数
    ·完整区域传送 AXFR:整区域设备间进行传送
    ·增量区域传送 TXFR:仅传送区域信息部分DNS 区域传送务中会 TCP 协议:
    前三包 TCP 三次握手第 4 包 164 139 间进行区域传送包含 DNS 信息
    请求数包发送第 4 包标记重组装 PDU TCP 分片包 5 数包
    4 接收确认包 6 DNS 完整区域传送请求3超文传输协议 HTTP(Hypertext Transfer Protocol)
    (1) HTTP 浏览(2) HTTP 传数
    户网站发表评:七基础现实世界场景
    1捕获 Twitter 社交网络流量
    (1)登录程(2)传数2捕获 Facebook 社交网络流量
    (1)登陆程
    (2)发送私信
    第二数包:(3)较 Twitter Facebook 方法
    Twitter 身份认证方法更快速高效Facebook 保证容成功传递
    关闭身份认证连接前需额外认证防止中间攻击(Maninthemiddle
    MITM)
    较类似流量分析相似服务差异性3捕获新闻网站 ESPNcom 流量( 956 数包)
    (1)会话窗口(2)协议分层统计窗口
    里 HTTP 1266 8441TCP 流量纯数传输控制数包
    DNS 数包 28 意味着 14 DNS 事务(请求响应)会话窗口 UDP 会
    话数正 14 DNS 查询会独发生流量中 HTTP判断 ESPN
    网站 HTML 代码通域名引域子域导致执行查询(3)查 DNS 流量(4)查 HTTP 请求(5)查概况解花时间
    部分容帮助解访问网站时数空间
    4现实世界问题
    (1)法访问 Internet:配置问题
    ·侦听:
    简单办公网络环境DHCP 分发户电脑访问网访问 Internet边嗅探器监听线路边户尝试浏览 Internet
    ·分析:
    获网关 MAC 发送 DNS 请求获访问网址 IP 址
    正常情况会快收 DNS 响应该例中备 DNS 址查询重复查询
    旧没响应
    户正常网路器 DNS 服务器正常连接问题出
    问题户计算机检查发现该机手动配置 IP默认网关设置错 DNS 查
    询数包转发网络外
    ·总结:
    果注意 ARP 请求发送网关路器 IP 立刻知道问题
    (2)法访问 Internet:意外重定
    户访问 Internet访问 Google 页会重定该页法显示
    页面
    户电脑 1721608 网络设备 ARP 请求然试图连接 102 80 端口
    102 发回带 RST ACK 标志 TCP 连接请求中断重复两次时户浏览器显示该页法显示
    ARP 请求指网关路器ARP 没 DNS 请求 GOOGLE IP
    DNS 缓存 hosts 文件中果该域名 IP 址映射时进行 DNS 查询请求检
    查户电脑 hosts 文件时发现 GOOGLE 网址应网 IP 172160102导致错

    C\windows\system32\drivers\hosts etchosts
    (3)法访问 Internet:游问题
    户访问 Internet访问 GOOGLE分析:
    原:WEB 服务器配置错误WEB 服务器协议栈崩溃远程网络部署防火
    墙总远程端问题非户边网络问题
    (4)印机障
    户发送量印作业网络印机时会印页停止工作端口镜
    HUB 完成嗅探工作前三包 TCP 握手户发送印数包印机回复 ACK 确认包
    直第 121 数包出现问题
    查数包时间间隔:户电脑力重传数达目印机没响应问题电脑
    重现进步分析发现印机存障
    通信意外停止时 TCP 置重传功指出问题确切位置(5)分公司困
    分公司工作站访问 Internet 分公司服务器访问总部应服务器
    分公司工作站进行端口镜:分公司 DNS 服务器进行端口镜:
    开头前 DNS 查询响应第三服务器服务器 250 进行通信:
    步找出区域传送失败原嗅控中心办公室 DNS 服务器流量查分
    公司 DNS 查询否达里结果没进步检查路器配置发现中心办公
    室路器配置成允许 53 端口 UDP 流量进入 53 端口 TCP 阻止导致问题发
    生(6)生气开发者
    程序员开发踪商店销售报告回中心数库应程序报告数累积
    天晚 CSV 文件形式传回插入中心数库然插入数库数常出错
    甚部分丢失
    端口镜功嗅探服务器流量单商店传 CSV 文件流量
    FTP 传输文件通信流量图分析:客户机 128 服务器 121 发起 FTP 连接(端口 21)前三包 TCP 握手确认数传输接提取传输文件展示文件传输没损坏丢失:工具查文件 MD5 值文件完整性肯定应程序处理文件时出

    八网络卡
    1TCP 错误恢复特性
    延迟数包传输接收时间差衡量参数(1)TCP 重传
    数包丢失原:应程序障路器流量负载沉重服务中断
    重传计时器: TCP 传输数包时会启动重传计时器(重传超时值
    Retransmission timeoutRTO)收数包 ACK 时计时器停止发送收
    ACK 时间返时间(Roundtrip timeRTT)
    接收机没发送 ACK 时发送机假设原数包丢失重传果
    直没收 ACK次重传 RTO 值翻倍直收 ACK 达重传次数止
    (Window 默认 5 次LINUX 默认 15 次)(2)TCP 重复确认快速重传
    接收方收乱序数包时发送重复包含丢失数包序号 ACK发送方重
    发该数包发送方收 3 重复 ACK 时会触发快速重传立该重发丢失数包
    正发送数包路
    TCP 序号确认号:确认号=接收数序号+接收数字节数
    快速重传:·数包 4 发送方错误序号发送数区块
    ·数包 5 接收方机发送第二重复 ACK
    ·数包 6 接收方收情错误序号数包
    ·数包 7 第三重复 ACK
    ·数包 8 快速重传数包
    ·数包 9 确认收快速重传 ACK
    注意:快速重传标记信息 Wireshark 功非数包身值
    选择性确认(Selective Acknowledgement):实例握手时协商开启选择性 ACK
    数包丢失收重复 ACK 接收数包需重传丢失数包
    果启必须重传丢失包数包
    2TCP 流量控制
    TCP 实现滑动窗口机制检测时发生数包丢失利数接收方接收窗口
    (Window Size)值控制数流量(1)调整窗口
    接收数时会回复 ACK 作响应接收方太繁忙接收窗口宣告
    速率处理数时会调整接收窗口缓解数处理压力
    服务器更快处理数时发送 ACK指明更窗口
    (2)零窗口通知停止数流
    服务器法处理客户端发送数时发送零窗口 ACK客户端收会停止
    传输数周期性发送保活包保持连接服务器次处理数时会发送非零
    ACK 恢复通信(3)TCP 滑动窗口实战数包 67 客户端 30 收窗口更次服务器 20 发送数
    滑动窗口:
    ·第 1 包服务器 68 发送客户端 85 正常 HTTP 流量
    ·第 2 包客户端 85 返回零窗口包表示接收数
    ·第 3 包服务器 68 发送保活包零窗口保活包交递进行直客户端发更窗口
    接收数止保活数包 34s68s135s 间隔出现会持续相长时间取决通信设
    备采操作系统该例中延迟 25s
    3TCP 错误控制流量控制总结
    (1)重传包
    客户端检测服务器没接收发送数发出重传包果服务器端捕获数
    重传包怀疑服务器端受丢包影响应该客户端观察
    (2)重复 ACK 包
    接收乱序数包时会触发重复 ACK数情况通信两端捕获重复
    ACK
    (3)零窗口保活包
    服务器某问题直接导致窗口减少达零窗口通常会通信两端见窗
    口更新数包
    4定位高延迟原
    时数包丢失非延迟造成两台机间通信慢时没 TCP 重传者重复
    ACK 特征时需查初始连接握手接两数包相时间显示查
    数包延迟情况
    (1)正常通信
    前三包三次握手包 4 HTTPGET 请求包 5 ACK 回复包 6 服务器发出
    第数包出发生时间非常短总 01 秒(2)线路延迟
    包 2 5 高延迟受线路延迟影响迹象服务器忙迅速响
    应 SYN 包包 2 延迟排服务器端问题
    包 34 客户端发出快排客户端问题
    包 5 延迟次标志着线路延迟影响服务器收 HTTPGET 请求回复 ACK
    样需太处理量
    (3)客户端延迟
    三次握手正常包 4 客户端发送 HTTPGET 请求延迟高客户端发
    送握手 ACK 应该马发出 GET 请求创建传输 GET 需应层处理
    处理程延迟意味着根源客户端
    (4)服务器延迟
    数包 6 出现高延迟包 6 服务器发出第 HTTP 数包三次握手
    利表示线路正常 HTTP 数包需应层 HTTP 协议完成包 6 延迟意
    味着服务器延迟(5)延迟定位框架
    5网络基线
    网络基线包含网络端点流量样包括量认正常网络流量
    作网络设备工作正常时作较基准
    (1)站点基线
    获网络物理站点整体流量快
    协议:网络边缘(路器防火墙)捕获网段设备流量时协议分
    层统计窗口(Protocol Hierarchy)查否缺少应出现协议出现新
    协议发现高正常数量特定类型流量
    广播流量:站点点监听捕获广播流量解谁发送量广播
    身份验证序列:包括意客户端服务身份验证程流量动态目录WEB
    程序身份验证通常服务运行缓慢方面
    数传输率:包括网络测量站点站点传输量数概述绘图
    功确定传输速率连接致性网段建立拆连接慢时运行基线样
    数传输较结果
    (2)机基线
    高流量机关键务服务器执行
    协议:站点基线
    空闲繁忙流量:解天中时段连接数量占带宽助确
    认缓慢户负载原造成
    启动关闭:机启动关闭时创建流量捕获旦计算机启动关闭程缓慢确认问题否网络关
    身份验证序列:机服务身份验证程流量
    关联赖:长时间捕获确定机赖机(机赖)通会
    话窗口 Conversations 查例 WEB 服务器赖 SQL 服务器确定机正常
    运转配置错误赖机高延迟
    (3)程序基线
    基网络关键业务应程序
    协议:运行应程序机捕获查协议分层统计窗口
    启动关闭:捕获应程序启动关闭时生成流量确定原
    关联赖:
    数传输率:确定问题否高利率高户负载造成
    (4)注意事项
    创建基线少 3 次:低流量期(早晨)高流量期(午 3 点)流量期(深夜)
    避免直接需创建基线机捕获流量:高流量会增加设备负载影响

    时捕获基线存安全方免网络关私密信息偷窃
    pcap 文件基线关联更常见参考值写份抄关联关系
    数传输率
    九安全领域数包分析
    1网络侦察
    网络踩点扫描目标 IP 域名开放端口运行服务通扫描确定目标
    否线达
    (1)SYN 扫描
    赖 TCP 三次握手协议攻击者发送 TCPSYN 目标范围端口通目标返
    回情况判断目标端口否开放
    ·返回 SYNACK 表示端口开放
    ·返回 RST 表示端口关闭
    ·返回表示防火墙阻止者丢失等
    NMAP 扫描工具:httpwwwnmapcomdownloadhtml滤结果:
    查 http 80 端口流量受害者第回应 SYNACK 没响应重发 3 次
    放弃确定受害者 80 端口开放
    识端口状态:
    通 Conversations 窗口中 Packets 数量识出端口开放
    (2)操作系统指纹术
    指没物理接触情况确定机器运行操作系统信息组技术
    变动式:监听目标机发送数包目标发送流量非常隐蔽
    常识域完整容易导致偏差建议 p0f 工具:
    httplcamtufcoredumpcxp0fshtml
    动式:
    动受害者发送特意构造数包引起响应获知操作系统信息
    Nmap 扫描等参考 Nmap 权威指南Nmap Network Scanning2漏洞利
    (1)极光行动
    2010 年 1 月极光行动利 IE 浏览器漏洞取 GOOGLE 公司机器 root 级
    远程控制权限
    工作原理:
    ·受害者开攻击者邮件点击里面链接跳恶意网站·攻击者恶意网站返回 302 重定
    ·受害者重定 URL 发起 GET 请求
    ·攻击者 WEB 服务器受害者发送含混淆 JavaScript 代码页面含恶意
    GIF 链接 iframe·受害者载恶意 GIF 图·利 IE 漏洞 GIF 反混淆 javaScript 代码受害者机器执行
    ·受害者机器执行隐藏代码中 payload 4321 端口攻击者发出新会话(CMD)
    ·攻击者通 CMD 操控受害者机器
    (2)ARP 缓存攻击
    攻击者重定两台机间流量试图传输程中流量进行拦截修改包括会话
    劫持DNS 欺骗 SSL 劫持
    EditPreferences 中增加两列显示(源目 MAC 址):攻击者直接发受害者 ARP 请求广播发送 IP 伪装成路器
    IP1721601欺骗受害者路器 MAC MAC样截获受害者流

    (3)远程访问木马
    ……忽略……
    十线网络数包分析
    1物理素
    (1)次嗅探信道
    WLAN 线频谱作享介质频谱划分 11 信道单 VLAN 时操
    作信道意味道嗅探时嗅探
    某线扫描程序跳频技术双迅速改变监听信道收集更数 Kismet
    httpwwwkismetwirelessnet
    (2)线信号干扰
    线网络定抗干扰特性完全时信道间干扰频谱空间
    限信道间许重叠域 WLAN 设置成 16 11 三
    重叠信道(3)检测分析信号干扰
    频谱分析仪检测信号干扰 MetaGeek 开发 WiSpy 产品
    2线网卡模式
    理模式(Managed mode):客户端线接入点 WAP 连接时
    Ad hoc 模式:客户端直连时
    模式(Mater mode):线网卡作设置 WAP
    监听模式(Monitor mode):线客户端停止收发数专心监听空气中数包需
    线网卡驱动支持监听模式推荐做数包分析线网卡:ALFA 1000mW USB 线适配器
    3 Windows 嗅探线网络
    部分基 Windows 线网卡驱动允许切换监听模式包换 WinPcap需额
    外硬件
    (1)配置 AirPcap
    AirPcap(httpwwwcacetechcom) U 盘样巧捕获线流量配置选项:
    Interface:选择捕获设备
    Blink Led: AirPcap 时识正适配器
    Channel:选择监听信道
    Include 80211 FS in Frames:默认会掉数包 FCS 校验勾包含 FCS
    Capture Type:80211 Only 80211+Radio选择者获更信息
    FCS Filter:滤 FCS 认已损坏数包
    WEP Configuration:输入嗅探网络 WEP 密码
    (2)AirPcap 捕获流量
    安装配置 AirPcap 启动 Wireshark选择 Capture>Options>interface>AirPcap
    单击 Start 开始捕获
    4 Linux 嗅探线网络
    需启线网卡监听模式启动 Wireshark Linux 通置线扩展程
    序启监听模式
    查接口模式:
    #iwconfigEth1 ModeManaged
    配置成监听模式:
    #iwconfig eth1 mode monitor
    #iwconfig eth1 up
    改变监听信道:
    #iwconfig eth1 channel 3
    580211 数包结构
    线数包增加 2 层 80211 头部包含数包传输介质关额外信息
    80211 数包 3 种类型:
    理:机间建立二层连接子类型认证(authentication)关联(association
    )信号(beacon)数包
    控制:允许理数包数数包发送拥塞理关子类型请求发送
    (requesttosend)准予发送(cleartosend)数包
    数:包含真正数唯线网络转发线网络数包6增加线专列
    7线专滤器
    (1)筛选特定 BSSID 流量
    WAP BSSID(Basic Service Set Identifier)基础服务设备识码理
    分组数分组数包包含 Packet List 面板 INFO 列找查该数包详
    细 80211 头部中找 MAC 址查某 WAP 传输数包时
    滤器:
    wlanbassideq 00112233445566
    (2)筛选特定线数包类型
    线类型子类型相关滤器语法
    帧类型子类型 滤器语法
    Management frame wlanfctype eq 0
    Control frame wlanfctype eq 1
    Data frame wlanfctype eq 2
    Association request wlanfctype_subtype eq 0x00
    Association response wlanfctype_subtype eq 0x01
    Reassociation request wlanfctype_subtype eq 0x02
    Reassociation response wlanfctype_subtype eq 0x03
    Probe request wlanfctype_subtype eq 0x04
    Probo response wlanfctype_subtype eq 0x05
    Beacon wlanfctype_subtype eq 0x08
    Disassociate wlanfctype_subtype eq 0x0AAuthetication wlanfctype_subtype eq 0x0B
    Deauthentication wlanfctype_subtype eq 0x0C
    Action frame wlanfctype_subtype eq 0x0D
    Block ACK requests wlanfctype_subtype eq 0x18
    Block ACK wlanfctype_subtype eq 0x19
    Power save poll wlanfctype_subtype eq 0x1A
    Request to send wlanfctype_subtype eq 0x1B
    Clear to send wlanfctype_subtype eq 0x1C
    ACK wlanfctype_subtype eq 0x1D
    Contention free period end wlanfctype_subtype eq 0x1E
    NULL data wlanfctype_subtype eq 0x24
    QoS data wlanfctype_subtype eq 0x28
    Null QoS data wlanfctype_subtype eq 0x2C
    (3)筛选特定频率
    显示信道 1 流量滤器:radiotapchannelfrep 2412
    信道 频率
    1 2412
    2 2417
    3 2422
    4 2427
    5 2432
    6 2437
    7 2442
    8 2447
    9 2452
    10 2457
    11 2462
    8线网络安全
    初推荐线加密技术线等效加密(Wired Equivalent PrivacyWEP)
    标准发现密钥理漏洞出新标准线网保护接入(WiFi Protected Access
    WPA) WPA2 标准(1)成功 WEP 认证认证成功客户端发送关联请求(数包 10)接收确认完成连接程
    (2)失败 WEP 认证
    数包 3:WAP 发送质询文包 4 确认数包 5:客户端发送 WEP 密码包 6 确认
    数包 7:客户端质询文响应正确表明密码输错
    (3)成功 WPA 认证
    客户端(82)收广播 WAP(80)发送探测请求(包 2)响应(包 3)
    两者间生成认证关联请求响应(包 4~7)
    包 8 WPA 开始握手方持续包 11 WPA 质询响应程认证成功开始传输数(包 12 起)
    (4)失败 WPA 认证
    包 8 开始 8 WPA 握手数包握手包 8 9 中客户端响应质
    询文误 10 1112 1314 15 重复三次失败通讯中止包 16 表
    示认证失败附录 A:数包分析工具
    A1Tcpdump Windump
    Tcpdump 广泛完全基文处理海量数时非常Linux
    httpwwwtcpdumporg
    Windump tcpdump Windows 版
    httpwwwwinpcaporgwindump
    A2Cain & Abel
    Windows 台 ARP 缓存中毒攻击工具途
    httpwwwoxiditcainhtml
    A3Scapy
    强 Python 库允许基命令行脚方法创建修改数包
    httpwwwsecdevorgprojectsscapy
    A4Netdude
    Linux 台较 Scapy 功限提供图形界面
    httpnetdudesourceforgenet
    A5Colasoft Packet Builder
    Windows 台类型 Netdude创建修改数包
    httpwwwcolasoftcompacket_builder
    A6CloudShark
    线分享数包捕获记录网站浏览捕获文件发事分析
    httpwwwcloudsharkorg
    A7pcapr
    分享 PCAP 文件 Web20 台面量捕获文件协议例子
    httpwwwpcaprnetA8NetworkMiner
    网络取证工具强项解析数包检测网络端操作系统类型文件解析成
    机间会话甚捕获记录中提取传输文件
    httpnetworkminersourceforgenet
    A9Tcpreplay
    重传 PCAP 文件里数包观察设备响应
    httptcpreplaysynfinnet
    A10ngrep
    Linux 台类似理符 grep允许 PCAP 数执行特定搜索滤器法实现复杂
    情况时 ngrep
    httpngrepsourceforgenet
    A11libpcap
    网络流量捕获移植 CC++库开发高级解析数包创建处理数包应
    程序wiresharktcpdump 等赖
    httpwwwtcpdumporg
    A12hping
    命令行数包操传输工具支持种协议反应快直观
    httpwwwhpingorg
    A13Domin Dossier
    查询域名 IP 址注册信息
    httpwwwcentralopsnetcoDomainDossieraspx
    A14Per Python
    脚语言数包做趣事情
    附录 B:数包分析资源
    B1Wireshark 面
    包括软件文档wiki
    httpwwwWiresharkorg
    B2SANS 安全入侵检测深入课程
    SANSSEC 503 Intrusion Detection InDepth
    httpwwwsansorg
    B3Chris Sanders 博客httpwwwchrissandersorg
    B4Packtstan 博客
    httpwwwpacketsancom
    B5Wireshark 学
    httpwwwwiresharktrainingcom

    《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
    该内容是文档的文本内容,更好的格式请下载文档

    下载pdf到电脑,查找使用更方便

    pdf的实际排版效果,会与网站的显示效果略有不同!!

    需要 4 香币 [ 分享pdf获得香币 ]

    下载pdf

    相关文档

    股市技术分析实战技法

    《股市技术分析实战技法》作者: 分析家首席分析师 雪峰成本分析实战技法知已知彼百战百胜 1成本理论成本转换原理 2移动成本分布 3成本分布形态 4第二节 成本分析实战技法实战技法 9上峰不...

    12年前   
    673    0

    实战ERP

    目 录如何识别核心流程……………………………………………………… ………………………1关于BPR和ERP的思考………………………………………………………………………… 4企业信息流的价值定位...

    12年前   
    617    0

    商界实战案例分析---丽花丝宝对红桃K

    商界实战案例分析---丽花丝宝对红桃K 早就知道在商界有“商场如战场”一说,如众所周知的SVCD和CVCD标准大战、彩电价格大战、农夫山泉和乐百氏娃哈哈的水仗,但我们更多的是看到交战双方是为...

    8年前   
    16444    0

    知识管理实战

    知识管理实战---知识管理帮助我们蝉联了行业客户服务满意度冠军。        更值得称道的是,随着时间的推移,过去的投入正在不断给公司带来超乎想象的收益。         ----公司的客户...

    10年前   
    663    0

    营销定位的实战步骤

    营销定位的实战步骤   营销定位策略的灵活运用,主要是寻找市场空隙,然后钻进去填满,亦即找出市场切入的“别有洞天“与空隙策略。   下面,我们将营销定位的实战步骤分述如下: 一、...

    7年前   
    9930    0

    中海康城实战档案

    中海康城实战档案前言  广州中海康城是2002年广州楼市大战的最大两个赢家之一,销售排行第二,仅次于碧桂园旗下的凤凰城。但是这个规模中等,地段也不是很突出的楼盘,却能取得如此出色的成绩,确实很...

    12年前   
    517    0

    警务实战实战理论知识测试题「附答案」

    1.对违反《公安机关公务用枪管理使用规定》的人民警察,依据有关规定采取的措施是( )。(1.0分) A、停止执行职务、禁闭B、警告、记过C、记大过D、降级、撤职【正确答案】:A

    2年前   
    2856    0

    家装实战知识总结手册

    新房质量验收,这是业主经常忽视的问题,是购房中很重要的一个环节,业主与开发商签定新房质量验收合格书后,就表明业主对房屋质量已经认可,如果以后房屋出现任何质量问题,此合格书也就成为开发商和物业部...

    5年前   
    1066    0

    项目管理实战利器之分解技术

    项目管理实战利器之分解技术  简而言之,分解就是把整体分成部分。分解是一个强大实用的技术。先举几个生活中的例子:观赏体操比赛时,看着运动员们一连串令人眼花缭乱的表演,禁不住为他们喝彩。殊不知,...

    10年前   
    617    0

    《市场营销实战教程》

     《市场营销实战教程》 市场竞争与企业营销的经典教程 第一章 序 我国市场经济的发展和对外开放的扩大,使国内市场日益与国际市场连咸一片,企业不论在哪里生存和发展,都面对看...

    14年前   
    16927    0

    《微营销实战兵法》目录

    《2014微营销实战宝典》学知资讯独家首发:光盘版598元,下载版198元。模块一 为微信营销宝典教程篇模块二 为赠品:微商城营销系统会员模块三 为3天2夜微营销实战培训以下为模块一内容目录:...

    9年前   
    450    0

    客户关系管理的中国实战

    客户关系管理的中国实战作者: 田同生时间:2003年9月15日晚19:00地点:北京大学英杰交流中心主持人: 各位同学,晚上好,欢迎大家来观看这次讲座。我们这次讲座主题是“客户关系管理的中国实...

    12年前   
    670    0

    「课件」绩效管理实战手册

    绩效管理实战手册 对于企业人力资源管理人员来说,哪个绩效管理模块最复杂而又最不容易见成效?员工绩效考核!对于企业的老总来说,什么事情最让其头痛?还是员工绩效管理!     中国的企...

    6年前   
    1823    0

    软件项目质量管理实战总结

    软件项目质量管理实战总结摘要:本文详细阐述了作者对软件项目质量管理的认识,是作者实际经验的总结。主要内容包括对软件项目质量管理理论的认识、软件项目质量管理在实践中的具体做法。文章详细介绍了有关...

    10年前   
    694    0

    推销实战演习心得

    推销实战演习心得  这次我们系组织了一次推销实战演习,收获颇丰。我总结了有以下几点,给我的启发很大。  以往课本的知识,在这次实训当中有很大程度上的不同。  我们以前将销售沟通的重点放在了销售...

    10年前   
    699    0

    微信营销实战案例

    微信营销实战案例腾讯微信的逐渐风行,让我隐约感觉到微信在2012年会成为新型网络营销的一把利剑。2011年一年的时间,腾讯微信一共研发了应用在不同终端45个版本,平均1.15周发布一个,改进频...

    12年前   
    766    0

    防汛实战演练总结

    防汛实战演练总结   迎春林业局认真贯彻执行国家、省、市及森工总结水务局对防汛工作的指示精神,为切实做好林业局的防汛工作,日前进行了“防汛实战演练”。 林业局党委书记王**峰亲临现场,主管...

    9年前   
    8905    0

    实战协同办公应用

    实战协同办公应用大连D公司的业务经理小陈到昆明出差,得知当地老同学小刘他们公司正要上一个重大项目,而这一项目刚好是小陈公司的业务强项。 机不可失,十万火急!项目第二天就要开标了,虽然没有准备,...

    9年前   
    464    0

    「课件」绩效管理实战手册

    绩效管理实战手册对于企业人力资源管理人员来说,哪个绩效管理模块最复杂而又最不容易见成效?员工绩效考核!对于企业的老总来说,什么事情最让其头痛?还是员工绩效管理!     中国的企业在竞争中面...

    10年前   
    587    0

    实战资料超级赠送

    尊敬的企业领导您好: 如果你要解决企业经营中遇到的复杂难题?如果你不知道今后企业该如何更好的销售产品,员工该如何激励,企业该如何运营?那就充电吧! 如果你想合理利用振兴东北的大好契机,如果...

    12年前   
    27340    0